Как угнали мерседесы у каршеринга Car2Go в Чикаго
15 апреля, понедельник, должен был быть спокойным для чикагской команды сервиса каршеринга Car2Go, которую автопроизводитель Daimler AG представил более десяти лет назад. Будние дни были в основном спокойными, а улицы Чикаго были слякотными на следующий день после необычного зимнего шторма в конце сезона. Кто хочет иметь дело с арендованным автомобилем в слякоть?
В тот день многие люди наблюдали резкий рост стоимости аренды за Mercedes CLA и спортивные GLA. И аренда длилась намного дольше, чем в среднем 90-минутная поездка Car2Go. По факту, многие из этих мерседесов не были возвращены вообще. Вместо этого сотрудники в штаб-квартире Car2Go в Остине наблюдали на карте, как десятки их автомобилей собрались в нескольких кварталах в Западном Чикаго, за пределами зоны покрытия компании.
Car2Go отправили нескольких техников за автомобилями, но они обнаружили, что группа воров объявила их своими. Кто-то заблокировал авто; другие угрожали техникам компании. Car2Go имеет возможность удаленно отключать авто, но запутанная ситуация не позволила вовремя это сделать.
«Это был уникальный опыт для нашей компании. Мы никогда не видели такого рода мошеннических действий в таком масштабе, никогда»
Кенделл Келтон, представитель Car2Go
Как только Car2Go начал замечать странный трафик, реклама в Facebook начала давать чикагцам информацию о краткосрочной аренде Mercedes. Пользователи начали постить радостные фото и видео, сообщения, хвастающиеся своим новым «Мерседесом», спрашивали где они могли получить такой же получить, или сетовали на то, что они упустили свой шанс.
«Это было безумно. Каждые полмили стояли CLA или GLA Mercedes. Некоторые были разбиты, некоторые заброшены и даже выпотрошены»
житель района, который назвал себя как Джастин
После неудачных попыток забрать автомобили Car2Go обратилась в полицию Чикаго за помощью. К середине недели компания вообще прекратила обслуживать Чикаго, признав, что не может понять, как отличить законных клиентов от воров. Около 75 автомобилей были скомпрометированы. Все были в конечном счете восстановлены, хотя некоторые только после того, как были лишены дверей, сидений и других частей.
Хотя инцидент был уникальным в короткой истории каршеринге через смартфона, он является ярким примером некоторых знакомых рисков, присущих сетям общего пользования и автомобилей подключенных к этой сети. Точно так же, как большая доступность скутеров, подключенных к Интернету, на городских тротуарах приводит к тому, что большое количество скутеров оказываются на близлежащих деревьях и в реках, раскиданными на дорогих, так и легкодоступные автомобили по всему городу подвержены вандализму и краже.
За последнее десятилетие сети каршеринга боролись за взрывной рост, к примеру Uber Technologies Inc. или Lyft Inc. Car2Go работает в семи американских городах; ReachNow - BMW каршеринг работает в двух. Обе компании объединились в начале этого года в надежде усилить свою деятельность и расширить свое влияние.
История Mercedes связана с одной стратегией, реализованной руководством Car2Go для привлечения новых пользователей: упрощение регистрации.. В течение последних нескольких лет Car2Go подвергала всех своих пользователей проверкам, проводимым людьми вручную. На это уходит один-два дня, что кажется клиентам долгим, привыкшим к немедленному удовлетворению как в других сервисах.
«Вы видите Uber или Lyft, или Airbnb, или шеринг скутеров - все они проходят мгновенную проверку»
говорит Келтон
Команда в Европе, где уровень мошенничества намного ниже, стремилась снизить порог входа и в апреле Car2Go перешла на автоматическую проверку данных. Уже 13 апреля около 20 человек, тех самых воров Мерседесов, открыли в Чикаго порядка 80 фальшивых счетов, используя для этого поддельные или украденные кредитные карты. Остается неясным, были ли эти события связаны или просто показывают насколько часто злоумышленники проверяют сервисы на наличие уязвимостей.
Согласно полицейским отчетам, все ворованные автомобили имели исправно работающие GPS-трекеры и специфические номерные знаки (начинались с букв AX), а на многих все еще были наклейки Car2Go, поэтому у офицеров не возникло проблем с задержанием автомобилей. За один день они арестовали почти два десятка “халявщиков”. Многие из них объясняли, что арендовали авто у соседей. Единственным человеком, обвиняемым в совершении уголовного преступления был 19 летний парень, у которого было найдено куча фальшивых кредитных карт.
Атака такого масштаба была беспрецедентной, но по мнению экспертов, всегда есть мелкие инциденты связанные с недоработками сервиса. Например в 2017 году Enterprise Holdings Inc. закрыл свой каршеринг в Чикаго по причине высокого уровня мошенничества и вандализма. В 2016 году у ReachNow в Бруклине, Нью-Йорк, стало много исчезать уже арендованных автомобилей. ReachNow перешла с автоматического обратно на ручную верификацию пользователей, а также прекратила свою деятельность в Бруклине.
Для Car2Go были обыденностью случае, когда пользователи арендовали дорогие автомобили и сдавали их в субаренду на короткий срок по завышенным ценам. В основном, эта проблема была в Чикаго.
Хакеры угоняли учетные записи пользователей, арендовали автомобили и отключали GPS-трекеры, в результате чего, автомобили фактически исчезали.
Конечно все IT-сервисы постоянно совершенствуют системы безопасности и подходы к обработке данных, но это бесконечная гонка.
Car2Go быстро вернулись к ручной верификации пользователей и с тех пор не было серьезных проблем за последние два месяца, по словам Келтона. Она добавила, что GPS-трекер попросту нельзя отключить физически.
Николас Хилл, который работал в ReachNow и Car2Go, а теперь руководит направлением каршеринга по Северной Америки Французского автопроизводителя Group PSA, сообщает, что между удобством и безопасностью всегда тонкая грань.
Источник: